FreeBSD

FreeBSD: установка и настройка arpwatch

ArpWatch — демон, который отслеживает соответствие между IP и MAC-адресами, и при обнаружении аномалий, сообщающий об этом в Syslog.

Для мониторинга связок mac-ip  используем софтинку под названием arpwatch

Установка:

cd /usr/ports/net-mgmt/arpwatch && make install clean

После установки видим:

You can update the ethercodes.dat file executing the following steps

cd /usr/local/arpwatch
fetch http://standards.ieee.org/regauth/oui/oui.txt
./massagevendor oui.txt > ethercodes.dat
rm oui.txt

Правим rc.conf

arpwatch_enable="YES" # включаем arpwatch
arpwatch_dir="/var/db/arpwatch" # в этой директории храним бд arpwatch
arpwatch_interfaces="em0" # c какими интерфейсами работаем
#arpwatch_interfaces="" #слушать все интерфейсы
#arpwatch_em0_options="-m admin@mydomain.ua" #отправлять лог себе на мыло

Настроим ведение логов с помощью syslog.conf

# ee /etc/syslog.conf

Добавляем:

!arpwatch
*.notice /var/log/arpwatch.log

Создать лог-файл:

# touch /var/log/arpwatch.log

и перезагрузить syslogd:

# killall -HUP syslogd

Настроить ротацию лог-файла:

# ee /etc/newsyslog.conf

Добавляем:

/var/log/arpwatch.log                   600  7     *    $W6D0 JC

Создаём рабочую директорию для arpwatch:

# mkdir /var/db/arpwatch

Запускаем:

# /usr/local/etc/rc.d/arpwatch start

Таблица соответствия адресов находится в файле /usr/local/arpwatch/arp.< интерфейс>.dat и выглядит как обычный текстовый файл, с MAC-адресом, IP-адресом, временем попадения в таблицу, и именем интерфейса, через который пришёл исходный запрос.

arpwatch формирует события следующих типов:
Важные:

 new activity - Это Ethernet/IP был использован впервые за 6 месяцев.
 new station - Это Ethernet/IP был использована впервые
 flip flop - Замена адреса с одного на другой (оба были в списке).
 changed ethernet address - Замена на новый MAC адрес Ethernet.

Дополнительные:

ethernet broadcast - MAC-адрес хоста является широковещательным.
ip broadcast - IP-адрес хоста является широковещательным.
bogon - Адрес отправителя IP-пакета не входит в непосредственно подключённую
        сеть (directly connected network) для заданного интерфейса.
ethernet broadcast - MAC-адрес отправителя состоит из одних нулей или одних
                     единиц.
ethernet mismatch - MAC-адрес отправителя пакета не соответствует MAC-адресу,
                    указанному внутри ARP-запроса.
reused old ethernet address - Ethernet-адрес изменился с известного адреса на
                              адрес, который был замечен ранее, но не только
                              что. (Похоже на flip flop, но чуть-чуть другое.)
suppressed DECnet flip flop - Сообщение "flip flop" подавлено в связи с тем,
                              что как минимум один из двух адресов является
                              адресом DECnet.

если есть необходимость вести журнал всех событий (не только важных), то меняем (*.notice) на (*.*) в syslog.conf

Просмотреть результат можно командой:

cat /var/log/arpwatch.log

Насколько полезным был этот пост?

Нажмите на звезду, чтобы оценить!

Средний рейтинг 5 / 5. Голосов: 1

Пока оценок нет! Будьте первым, поставь свою оценку этому посту.

Мы сожалеем, что этот пост не был полезен для вас!

Давайте улучшим этот пост!

Расскажите, как мы можем улучшить этот пост?

Подписаться
Уведомление о
guest

Этот сайт использует Akismet для борьбы со спамом. Узнайте как обрабатываются ваши данные комментариев.

0 Комментарий
Inline Feedbacks
View all comments
Back to top button
0
Would love your thoughts, please comment.x
()
x